opsec_pull_cert -h [CMAIP] -n [OPSEC-Obj] -p [ONETIMEPASSWORD] -o [OUTPUTFILE<opsec.p12>]
./opsec_pull_cert -h xxx.xxx.xxx.xxx -n ABCDEFG -p xxxxxxx -o opsec.p12
動きはCMAとOPSECオブジェクトの名前とonetimeパスワードを使用し、CMAから"ICA_CRL0.crl"の情報の入った証明書を持ってくる
コマンドを実行すると tcp/18210 で通信する
(tcpdump 確認済み)
出力されたファイルを念のため確認(見える範囲の文字で設定に間違いがないか)
strings opsec.p12
od -Ax -tx1z opsec.p12
hexdump -C opsec.p12
xxd opsec.12
CRL(Certificate Revocation List)とは・・・証明書失効リスト
Sample error
SIC Error for lea: Could not retrieve CRL..
./opsec_pull_cert -h xxx.xxx.xxx.xxx -n ABCDEFG -p xxxxxxx -o opsec.p12
Opsec error. rc=-1 err=-93 The referred entity does not exist in the Certificate Authority
●IP間違うと反応が遅い/無い
./opsec_pull_cert -h xxx.xxx.xxx.xxx -n ABCDEFG -p xxxxxxx -o opsec.p12
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk11544
※証明書のCRL配布ポイント(CRLDP)拡張には該当CRLのURLが含まれ、これにより証明書の検証時に正しいCRLが取り込まれます。
Thanks...
http://dl3.checkpoint.com/paid/f4/CheckPoint_R65_SmartCenter_AdminGuide_J.pdf?HashKey=1453122429_1d61e913ca5af7610dfae4085c8fc6df&xtn=.pdf
0 件のコメント:
コメントを投稿